Question

Я настроил spring security для включения cors.

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;

    @Autowired
    private CustomLogoutHandler logoutHandler;

    @Autowired
    private HttpLogoutSuccessHandler logoutSuccessHandler;

    @Override
    protected void configure( HttpSecurity http ) throws Exception
    {
        http.cors().and().csrf().disable()

                .authorizeRequests()

                .antMatchers("/rest/noauth/**").permitAll()

                .antMatchers("/rest/login").permitAll()

                .antMatchers("/rest/logout").permitAll()

                .antMatchers("/static/**").permitAll()

                .antMatchers("/ws/**").permitAll()

                .antMatchers("/rest/razorpay/hook").permitAll()

                .antMatchers("/rest/user/cc").permitAll()

                .antMatchers("/v2/api-docs/**", "/configuration/ui/**", "/swagger-resources/**",
                        "/configuration/security/**", "/swagger-ui.html/**", "/webjars/**")
                .permitAll()

                .anyRequest().authenticated()

                .and()

                .logout().addLogoutHandler(logoutHandler).logoutSuccessHandler(logoutSuccessHandler)
                .logoutUrl("/rest/logout")

                .and()

                .addFilterBefore(
                        new JWTAuthenticationFilter("/rest/login", tokenService(), refreshTokenService,
                                authTokenModelRepository, userService, userActivitiesRepository,
                                handlerExceptionResolver, bCryptPasswordEncoder, redisTemplate),
                        UsernamePasswordAuthenticationFilter.class)

                .addFilterBefore(new JWTAuthorizationFilter(authenticationManager(), authTokenModelRepository,
                        userSubscriptionRepository, handlerExceptionResolver, redisTemplate),
                        UsernamePasswordAuthenticationFilter.class);

        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

    }

    @Override
    public void configure( AuthenticationManagerBuilder auth ) throws Exception
    {
        auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder);
    }
  }

, и у меня есть контроллер покоя,

@RestController
@RequestMapping( RestEndPoints.NO_AUTH_CONTROLLER )
@CrossOrigin(origins = "http://0.0.0.0:3000")
public class OtpController extends AbstractController {

    @Autowired
    private AuthService authService;

    @ApiOperation( value = "Generate OTP to login using registered email address", response = UIResponse.class, notes = "Please do validate and send only the organisation email address" )
    @ApiResponses( value = { @ApiResponse( code = 200, message = "Otp generated for <email_address>" ),
            @ApiResponse( code = 400, message = "Email address not registered as CC", response = UIErrorMessage.class ),
            @ApiResponse( code = 500, message = "Something went wrong", response = UIErrorMessage.class ) } )
    @PostMapping( "/otp/{email_address:.+}" )
    public ResponseEntity generateOtpToLogin( @PathVariable( "email_address" ) String emailAddress )
    {
        try
        {
            return buildResponse(authService.generateOtpForTheEmailAddress(emailAddress));
        }
        catch( DataException e )
        {
            return buildError(e);
        }
    }
}

Но, когда запрос API сделан из Во внешнем приложении к методу POST браузер выполняет вызов OPTIONS, а заголовки ответа равны Access-Control-Allowed-Origin:*, хотя я устанавливаю его на 0.0.0.0:3000, а браузер получает ошибку

Доступ к XMLHttpRequest в 'http://192.168.1.3: 8090 / rest / noauth / otp / sandesha@test.com' from origin 'http://0.0.0.0: 3000 ' был заблокирован CORS policy: значение заголовка «Access-Control-Allow-Origin» в ответе не должно быть подстановочным знаком «*», если режим учетных данных запроса «include». Режим учетных данных запросов, инициированных XMLHttpRequest, контролируется атрибутом withCredentials.

Как решить эту проблему?

Dhwanil Patel · Answer 1 · 14 февраля 2020

Я сталкивался с той же проблемой ранее, я полагаю, что она также ожидает какой-то другой параметр.

Чтобы я поместил следующий код и это рабочий файл для меня.

package com.ecommerce.auth_service.service.jwt;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class SimpleCORSFilter implements Filter {

  private final Logger log = LoggerFactory.getLogger(SimpleCORSFilter.class);

  @Override
  public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

    HttpServletRequest request = (HttpServletRequest) req;
    HttpServletResponse response = (HttpServletResponse) res;

    String check = "xsrf-token,X-Total-Results,Authorization";

    response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
    response.setHeader("Access-Control-Allow-Credentials", "true");
    response.setHeader("Access-Control-Allow-Methods", "POST, GET, PUT, OPTIONS, DELETE");
    response.setHeader("Access-Control-Max-Age", "3600");
    response.setHeader("Access-Control-Allow-Headers", "Content-Type, Accept, X-Requested-With, remember-me, Authorization");
    response.setHeader("Access-Control-Expose-Headers",check);

    if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
      log.debug("Request get method call status SC_OK.");
      response.setStatus(HttpServletResponse.SC_OK);
    } else {
      log.debug("Request get method not work chain start.");
      chain.doFilter(req, res);
    }
  }

  @Override
  public void init(FilterConfig filterConfig) {
  }

  @Override
  public void destroy() {
  }
}

Поддержка CORS в весенней загрузке и безопасности

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Поддержка CORS в весенней загрузке и безопасности

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы